Olymp Loader, một dịch vụ Malware-as-a-Service (mã độc MaaS) mới nổi, đã nhanh chóng thu hút sự chú ý trên các diễn đàn ngầm và Telegram kể từ khi ra mắt vào ngày 5 tháng 6 năm 2025. Được phát triển bởi một nhóm ba lập trình viên Assembly giàu kinh nghiệm dưới biệt danh “OLYMPO,” bộ loader này tự hào sở hữu các module hoàn toàn dựa trên Assembly, các kỹ thuật né tránh tiên tiến và chức năng stealer tích hợp.

Những tính năng này đặc biệt hấp dẫn các tội phạm mạng cấp thấp và trung bình, những người đang tìm kiếm các công cụ tấn công sẵn có.

Sự Phát Triển và Các Tính Năng Chính của Olymp Loader

Ban đầu được tiếp thị với tên gọi “Olymp Botnet,” dự án này nhanh chóng chuyển hướng thành một dịch vụ loader và gần đây hơn là một giải pháp tập trung vào crypter.

Kênh Telegram của OLYMPO tiết lộ một lộ trình phát triển năng động, đặt mục tiêu kết hợp một trình tạo stager, loader, botnet, trình quét tệp và crypter thành một bộ công cụ Orophware thống nhất. Outpost24 cung cấp phân tích chuyên sâu về sự phát triển này.

Cách tiếp cận theo module này giúp tăng tốc độ triển khai tính năng và rút ngắn thời gian từ khi phát hành ban đầu đến khi được áp dụng rộng rãi.

Cấu trúc giá của Olymp Loader

Tính đến ngày 5 tháng 8 năm 2025, các gói giá của OLYMPO bao gồm:

• 1 tháng: 200 USDT
• 3 tháng: 500 USDT
• 6 tháng: 900 USDT
• Trọn đời: 1500 USDT

Các khả năng được quảng bá

Olymp Loader được quảng bá với các khả năng sau:

• Hoàn toàn không thể bị phát hiện (FUD – Fully UnDetectable).
• Né tránh máy ảo (VM) và môi trường sandbox.
• Né tránh phần mềm diệt virus (đặc biệt là thông qua các chiến thuật loại trừ Windows Defender).
• Sử dụng các binary được ký chứng chỉ.
• Loader shellcode tùy chỉnh.
• Kỹ thuật tiêm tiến trình (process injection) nâng cao, bao gồm shellcode qua APC, Process Hollowing, Reflective DLL, và Thread Hijacking.
• Hỗ trợ hệ điều hành Windows 7-11 (x64).

Module Stealer tích hợp và API tùy chỉnh

OLYMPO tích hợp trực tiếp ba module stealer chính vào khung loader:

• Dữ liệu trình duyệt.
• Dữ liệu phiên Telegram.
• Thông tin đăng nhập ví tiền điện tử.

Người dùng cũng có thể tận dụng một API công khai để yêu cầu các module tùy chỉnh theo yêu cầu, với các nhật ký được định tuyến qua các điểm cuối proxy do khách hàng kiểm soát.

Phân tích mối đe dọa mạng từ Olymp Loader

Các số liệu thống kê gần đây cho thấy các payload sau lây nhiễm từ Olymp Loader triển khai nhiều loại mã độc khác nhau:

• LummaC2: 46% các trường hợp. Thông tin chi tiết về LummaC2 có thể được tìm thấy tại đây.
• WebRAT (SalatStealer): 31% các trường hợp.
• QasarRAT: 15% các trường hợp.
• Raccoon Stealer: 8% các trường hợp.

Một phần nhỏ khác chọn module stealer trình duyệt gốc của loader. Sự đa dạng này cho thấy khả năng linh hoạt trong việc tấn công và chiếm quyền điều khiển mục tiêu.

Các kỹ thuật phân phối được quan sát

Mặc dù còn non trẻ, một số kỹ thuật phân phối của Olymp Loader đã được quan sát:

• Các chiến dịch spam email.
• Quảng cáo độc hại.
• Tải xuống tự động (drive-by downloads).
• Các trang web bị xâm nhập.

Hoạt động trên các diễn đàn ngầm và truyền thông

OLYMPO duy trì các chủ đề hoạt động trên các diễn đàn như HackForums, BHF, DarkForums, Niflheim và Lolz Guru. Chúng thường xuyên quảng cáo hiệu suất FUD của Olymp Loader bằng cách tải các mẫu lên VirusTotal mà không sợ bị phát hiện.

Gần 100 người đăng ký trên kênh Telegram chính của chúng, nơi họ chia sẻ câu chuyện thành công và yêu cầu các tính năng mới.

Một phương pháp marketing độc đáo trên diễn đàn XSS của Nga liên quan đến việc xuất bản các phân tích kỹ thuật chuyên sâu về tiêm mã Assembly và Cyber-Kill-Chain. Tuy nhiên, tài khoản này đã nhanh chóng bị cấm vì vi phạm chính sách.

Khuyến nghị bảo mật và phòng ngừa

Với lộ trình phát triển tích cực và các payload giàu tính năng, Olymp Loader sẵn sàng hạ thấp rào cản cho các tác nhân đe dọa mới nổi và thúc đẩy sự phát triển của các cuộc xâm nhập thương mại quy mô lớn.

Các nhóm an ninh cần theo dõi chặt chẽ các cập nhật trên các kênh ngầm và điều chỉnh chiến lược phát hiện kịp thời. Điều này đặc biệt quan trọng đối với các binary được ký chứng chỉ, các chiến thuật loại trừ Windows Defender, và các biến thể shellcode tùy chỉnh. Cần thực hiện các biện pháp này trước khi các module tiếp theo của Olymp Loader được áp dụng rộng rãi.